Frage Was könnte dazu führen, dass bestimmte IPv6-HTTPS-Server eine übermäßig hohe Anzahl von RST-Paketen senden?


Client-Browser in meinem IPv6-fähigen Heimnetzwerk hängen ab und haben eine Zeitüberschreitung, wenn Sie https: // URLs von bestimmten IPv6-Sites laden möchten, z. B. solchen, die von CloudFlare betrieben werden. In diesen Situationen zeigt das Live-Protokoll meiner Firewall an, dass viele eingehende RST-Pakete automatisch vom Remote-HTTPS-Server gelöscht werden. Andere IPv6-Sites wie z https://ipv6.google.com Laden Sie sofort ohne Probleme, senden Sie wenig oder keine RST-Pakete an mein Netzwerk. Die einzige Problemumgehung, die ich gerade habe, ist eine Firewall-Richtlinie, die den ausgehenden HTTPS-Zugriff auf bestimmte IPv6-Adressbereiche blockiert und Browser effektiv dazu zwingt, die problematischen HTTPS-Server über IPv4 zu erreichen. Eine weniger attraktive Option besteht darin, IPv6 vollständig zu deaktivieren, indem Sie "6rd" und "radvd" deaktivieren.

Hier sind einige relevante Details der Umgebung:

  • Internetverbindung ist CenturyLink ADSL2 + PPPoE mit einzelner statischer IPv4-Adresse
  • DSL-Modem ist Actiontec C1000A mit der neuesten Firmware angewendet
  • Firewall ist Sophos UTM v9.2, die DHCP, DNS-Weiterleitung, Paketfilter und inside radvd behandelt
  • Modem verarbeitet NAT für IPv4 und IPv6 für IPv6
  • Netzwerke, die vom Modem-LAN und der externen Firewall-Schnittstelle gemeinsam genutzt werden, sind 192.168.0.0/24 und fd00 :: / 64
  • Netzwerke, die von Client-Computern und der internen Firewall-Schnittstelle gemeinsam genutzt werden, sind 192.168.1.0/24 und 2602: xxxx: xxxx: xxxx :: / 64
  • Der Datenverkehr wird von Modem-LAN zu externer Firewall-Schnittstelle über statische Modemrouten statt NAT auf Firewall geleitet

Wenn es um HTTPS über IPv6 geht, laden sich Websites von Google für mich gut, während von CloudFlare gehostete Websites ausnahmslos fehlschlagen. Beide sind große Unternehmen mit Teams von Netzwerkexperten, daher bin ich mir nicht einmal sicher, ob CloudFlare hier etwas falsch macht.

Hat jemand anderes die HTTPS-Server von CloudFlare gesehen, die viele Reset-Pakete auf IPv6, aber nicht auf IPv4 senden?

Könnte mein ISP, CenturyLink, die RST-Pakete in einem fehlgeleiteten Versuch schmieden, mir zu helfen oder mich zu schützen?

Werden die Resets gesendet, weil mein Browser mit einem Aspekt der SSL-Implementierung des Servers unzufrieden ist?


2
2017-07-20 22:38


Ursprung




Antworten: